ã“ã¡ã‚‰ã®ã‚¤ãƒ™ãƒ³ãƒˆã«ãŠã˜ã‚ƒã¾ã—ã¦ã„ã¾ã—ãŸã€‚
https://owasp-kansai.doorkeeper.jp/events/172199
ä¼šå ´ã¯å¤§é˜ªäº¬æ©‹ã«ã‚ã‚‹QUINTBRIDGEã¨ã„ã†NTT西日本ã•ã‚“ã®ã‚¤ãƒ™ãƒ³ãƒˆã‚¹ãƒšãƒ¼ã‚¹ã€‚
https://www.quintbridge.jp/
ã‚ã¡ã‚ƒã‚“ã“ãã‚Œã„&豪勢ãªã¨ã“ã‚ã§ã‚ã‚ã‚ã‚ã—ã¦ã„ã¾ã—ãŸã€‚
内容ã¯å‰åŠã«åŸºèª¿è¬›æ¼”çš„ãªã‚‚ã®ãŒ4本。
休憩ã¨æ“談タイムを挟んã 後ã€å¾ŒåŠã¯LTã¨è¤‡æ•°ã®BoFã®åŒæ™‚開催ã§ã€
å‚åŠ è€…å„人ã¯è¦‹ãŸã„ã‚‚ã®ã‚’見ã«è¡Œãã¨ã„ã†ã‚‚ã®ã§ã™ã€‚
ãŠã†ã¡å¸°ã£ã¦ãƒ¬ãƒã‚‹ã¾ã§ãŒã‚¤ãƒ™ãƒ³ãƒˆã®è€ƒãˆæ–¹ã®ã‚‚ã¨ã€ä»¥ä¸‹ã€ã‚ã‹ã‚‰ã‚“ãªã‚Šã®æ®´ã‚Šæ›¸ãメモã§ã™ã€‚
講演ã«ã‚ˆã£ã¦ã¯å¾Œã»ã©è³‡æ–™ãŒå…¬é–‹ã•ã‚Œã‚‹ã‚ˆã†ãªã®ã§ã€è©³ç´°ã¯ãã¡ã‚‰ã‚’å‚ç…§ãã ã•ã„。
1. オープニング
- OWASPã¨ã¯
- Open Worldwide Application Security Project(ã¿ã‚“ãªã®åŠ›ã§ä¸–ç•Œä¸ã§ã¤ãられãŸã‚‚ã‚“ã®ã‚»ã‚ュリティを何ã¨ã‹ã™ã‚‹æ´»å‹•ï¼‰
- 一昔å‰ã¯ã€Œã¿ã‚“ãªã®åŠ›ã§ ウェブ㧠ã§ããŸã‚‚ã‚“ã® ã‚»ã‚ュリティを 何ã¨ã‹ã™ã‚‹æ´»å‹•ã€ã ã£ãŸã‘ã©ã€å¤‰ã‚ã£ãŸã£ã½ã„ã§ã™ã
- åŒæ–¹å‘コミュニケーションを大事ã«ã—ã¦ã„ã‚‹
- Open Worldwide Application Security Project(ã¿ã‚“ãªã®åŠ›ã§ä¸–ç•Œä¸ã§ã¤ãられãŸã‚‚ã‚“ã®ã‚»ã‚ュリティを何ã¨ã‹ã™ã‚‹æ´»å‹•ï¼‰
- OWASP Kansai 10å¹´ã®æ©ã¿
- 2014年3月スタート
- å‚åŠ å›žæ•°ãƒ©ãƒ³ã‚ング出ã¦ãã¦ãƒ“ビã£ãŸ
- 2022å¹´2月時点ã§6ä½ã ã£ãŸã®ã«ã€ã„ã¤ã®ã¾ã«ã‹4ä½ã«ä¸ŠãŒã£ã¦ãŸ^^;
- 記録ãŒæ®‹ã£ã¦ã„ã‚‹é™ã‚Šã§ã¯ã€è‡ªåˆ†ã®åˆå‚åŠ ã¯2014å¹´6月ã®Local Chapter Meeting 2ndã ã£ãŸã‚ˆã†ã§ã™
- OWASP Kansaiã¨ã„ãˆã°å“çƒãƒãƒ¼ã§ã™ã‚ˆãï¼
- æŸæ°ã®æ¬¡ã®ã‚¹ãƒ†ãƒ¼ã‚¸å…¬é–‹
2. OWARAI Top 10
ã‚»ã‚ュリティãƒã‚¿ã‚’é¡Œæã«æ´»èºã•ã‚Œã¦ã„ã‚‹ãŠç¬‘ã„芸人ã•ã‚“ã«ã‚ˆã‚‹ã‚¹ãƒ†ãƒ¼ã‚¸ã€‚
ã‚ã£ã¡ã‚ƒãŠã‚‚ã‚ã‹ã£ãŸã€‚普段ã¯è„†å¼±ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã®æ—¥å¸¸ã¨ã„ã†å‹•ç”»ã‚’公開ã•ã‚Œã¦ã„ã‚‹ãã†ã§ã™
3. åä¾›ã¨ä¿è·è€…ã¨ã‚»ã‚ュリティæ„è˜
- 2000年以é™ã®å„種サービスã¨åä¾›ã®å¹´é½¢/å¦å¹´
- 21世紀åˆé ã«ç”Ÿã¾ã‚ŒãŸäººãŒæ—¢ã«æˆäºº
- LINEã£ã¦ã‚µãƒ¼ãƒ“ス開始ã‹ã‚‰10年以上経ã£ã¦ãŸã®ã‹ãƒ»ãƒ»ãƒ»
- 2020年以é™GIGAスクール構想ã«ã‚ˆã‚‹1人1å°ç«¯æœ«ã®å®Ÿç¾
- æŸå¸‚ã®å¦æ ¡æä¾›ã®ç«¯æœ«ã®ãƒ«ãƒ¼ãƒ«ã«è‹¦ç¬‘(ãã—ã¦ã€ãƒ«ãƒ¼ãƒ«ã®æŠœã‘é“探ã™ã‚„ã¤ã¯å¿…ãšã„る)
- ãã®ä»–オフレコãƒã‚¿ã‚ã‚Š
4. OWASP Top 10 Proactive Controls 2024ã§å§‹ã‚ã‚‹ã‚»ã‚ュリティ
- 景気ã¥ã‘ã«æœã‹ã‚‰è‡ªè»¢è»Šã§å…甲山登ã£ã¦ã‹ã‚‰æ¥ãŸã®ã§æ—¢ã«HPã¯2
- OWASP Top 10ã¨OWASP Top 10 Proactive Controlsã®é•ã„
- Top 10
- リスクを示ã—ãŸã‚‚ã®
- Proactive Controls
- Top 10ã®ãƒªã‚¹ã‚¯ãŒèµ·ã“らãªã„よã†ã«ã™ã‚‹ãŸã‚ã®å®Ÿè£…リスト(å‰å›žæ›´æ–°ã¯2018年)。ã“ã®ãƒªã‚¹ãƒˆã¯ã™ã¹ã¦ã®ã‚¢ãƒ¼ã‚テクトã¨é–‹ç™ºè€…ãŒçŸ¥ã£ã¦ãŠãã¹ã
- SSRFãŒåˆ‡ã‚Šå‡ºã•ã‚Œã¦ã‚‹ã®ã・・・
- 触りã—ã‹æ›¸ã‹ã‚Œã¦ã„ãªã„ã®ã§å¿…ãšå‚考文献をèªã‚€ã“ã¨
- Top 10
- Proactive Controls C1ã®èª¬æ˜Ž
- 事å‰ã«ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã‚’徹底的ã«è¨è¨ˆã™ã‚‹
- OWASP Top 10 Proactive Controlsã¯ã€åŒ…括的ãªæŠ€è¡“や実践ã®é›†åˆã§ã¯ãªã出発点
5. EPSS(Exploit Prediction Scoring System)モニタリングツールã®é–‹ç™º
- デモã¨FAQã¯æ’®å½±ç¦æ¢
- CVSS4.0を用ã„ãŸè„†å¼±æ€§è©•ä¾¡
- EPSS
- ソフトウェアã®è„†å¼±æ€§ãŒæ‚ªç”¨ã•ã‚Œã‚‹å¯èƒ½æ€§ï¼ˆç¢ºçŽ‡ï¼‰ã‚’推定ã™ã‚‹ãŸã‚ã®ãƒ‡ãƒ¼ã‚¿é§†å‹•åž‹ã®å–り組ã¿
- 悪用ã•ã‚Œã‚‹è„†å¼±æ€§ã«ç€ç›®ã—ãŸè„†å¼±æ€§ç®¡ç†
- EPSSã¯æ—¥ã€…値ãŒæ›´æ–°ã•ã‚Œã‚‹ã®ã§å„ªå…ˆåº¦ä»˜ã‘ã«ä½¿ã„ã«ãã„→モニタリングツール作ã£ãŸ
- LLMã§é–‹ç™º
- 仮説ã®æ¤œè¨¼ã«ã¯LLMã¯å½¹ç«‹ã¤
- ç·šã§ç¶™ç¶šçš„ã«ãƒ¢ãƒ‹ã‚¿ãƒªãƒ³ã‚°ã™ã‚‹ã¹ã—
6. BoF「AWSã®ã‚»ã‚ュリティインシデントã¸ã®æº–å‚™ã¨å¯¾å¿œã€
- アクセスã‚ーãŒæ¼ã‚ŒãŸã“ã¨ã«ã‚ˆã‚‹å½±éŸ¿ã®äº‹ä¾‹
- è¨å®šä¸å‚™ã«ã‚ˆã‚ŠS3ã‹ã‚‰æƒ…å ±ãŒæ¼ã‚ŒãŸã‚·ãƒŠãƒªã‚ªã‚’é¡Œæã«ã€AWSã®å„種サービスを使ã£ã¦ç¢ºèªã™ã‚‹ãƒ‡ãƒ¢
- CloudTrail
- Athena
- å–å¾—ã—ãŸãƒ‡ãƒ¼ã‚¿é‡ã§èª²é‡‘ã•ã‚Œã‚‹ãŸã‚ã€ã‚¯ã‚¨ãƒªã®æ›¸ã方をã—ãã£ãŸã‚‰ã€ã‚ã£ã¨ã„ã†é–“ã«è²»ç”¨ã«è·³ã返る(Athenaã£ã¦ã€ã“ã‚ŒãŒã‚ã‚‹ã®ã§è©¦ã—ã¥ã‚‰ã„ã®ã‚ˆã・・・)
- GuardDuty
- éŽæ¤œçŸ¥ã¨æ¤œå‡ºæ¼ã‚ŒãŒã¡ã‚‡ã“ã¡ã‚‡ã“ã‚ã‚‹
- 最近ã®S3ã¯ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§éžå¸¸ã«åŽ³ã—ã„制é™ãŒã‹ã‹ã£ã¦ã„ã‚‹ãŒã€7å¹´å‰ã«æ§‹ç¯‰ã—ãŸS3ã¯çµæ§‹ã‚¬ãƒã‚¬ãƒãªã®ã§ã€ãã‚ŒãŒä»Šã«ãªã£ã¦ã‚¤ãƒ³ã‚·ãƒ‡ãƒ³ãƒˆã«ã¤ãªãŒã‚‹ã‚±ãƒ¼ã‚¹ãŒã‚ã‚‹
<戦利å“>
リコリス・リコイル(5)
ケãƒãƒè»æ›¹ï¼ˆ34)
